程序逆向 - 第 109 | CN-SEC 中文网

程序逆向

FindWindow函数行为分析

概述：本篇文章主要探寻FindWindow函数的行为，该函数在哪个链表上进行窗口对象的检索操作。怎么查询对应的窗口对象链表。HWND FindWindowW( [in, optional] LPCST...

06月05日48 views评论

阅读全文

程序逆向

Cobalt Strike系列｜从0开始破解

0x01 Cobalt Strike介绍Cobalt Strike(简称为CS)是一款基于java的渗透测试工具，将所有攻击都变得简单、可视化，团队成员可以连接到同一个服务器上进行多人运动...

06月05日985 views评论

阅读全文

程序逆向

恶意代码系列｜基于图的恶意代码检测方法

‍‍01基于图的恶意代码检测技术的提出‍‍‍‍‍‍实践中，同一家族的恶意代码会产生大量的变种，即使相同的恶意代码也会使用不同的混淆方式隐藏自身的特征，导致检测中使用单纯规则匹配的方式检测恶意代码的方式...

06月05日139 views评论

阅读全文

程序逆向

CreateThread和CreateRemoteThread实现进程注入（一）

0X00 什么是进程注入进程注入技术一直以来都是一个老生常谈的话题。这是一种广泛应用于恶意软件和无文件攻击中的逃避技术，这意味着攻击者可以将自定义代码运行在另一个进程的地址空间内，然后去进行敏感操作，...

06月05日39 views评论

阅读全文

ebpf 隐藏 Android 任意进程或任意文件实现连载 (一)

本文围绕着 linux 系统 ls 命令，并实现 ebpf 内核命令拦截修改 ls 后最终效果等功能。一、功能演示视频演示：二、内容介绍：实现使用 ebpf 程序隐藏 Android 中进程信...

06月05日程序逆向72 views评论

阅读全文

程序逆向

CCProxy6.2 栈溢出分析

扫码领资料获网安教程免费&进群0X00 前言最近看了点二进制的东西，正好学校里面有栈溢出的实验，就简单拿出来分析一下，CCPorxy 6.2 ,一个比较经典的 windows 下的栈溢出，因为...

06月04日37 views评论

阅读全文

程序逆向

QueueUserAPC和NtMapViewOfSection是如何在进程中执行 shellcode的（二）

0X00 前言在实际环境中CreateRemoteThread会被诸如Windows Defender等各大杀软严格检测拦截。QueueUserAPC和NtMapViewOfSection是我们可以用...

06月02日67 views评论

阅读全文

程序逆向

QEMU Linux 内核调试环境搭建

环境虚拟机：CentOS7.9QEMU：5.2编译内核版本：5.0GCC版本：9.3.0GDB版本：8.2.1 0x01 QEMUQEMU安装官网直接下载最新的5.2版本wge...

06月01日48 views评论

阅读全文

程序逆向

无限硬件中断的代码实现

一简介在学习vt时了解到无限硬件断点技术，即不依赖于dr寄存器实现硬件断点。由于硬件断点依赖于调试寄存器 dr0-dr3，这就意味着只能设置4个硬件断点。无限硬件断点的原理：1.根据目标地...

05月31日40 views评论

阅读全文

程序逆向

DLL 劫持反击：在 ARM RDP 客户端上利用 Windows (CVE-2023-24905)

随着技术的进步和采用最新操作系统的新设备的推出，用户开始期待更高的安全性和更高的性能。但是，旧漏洞仍然可以进入新系统，给用户带来风险。最近，在我们对 Cyolo 远程桌面协议 (RDP) ...

05月31日73 views评论

阅读全文

程序逆向

HALFRIG样本分析

综述HALFRIG是CobaltStrike Beacon的一个传播下载器，用于间谍活动，与公开描述的与APT291的活动显著重叠。HALFRIG与QUARTERRIG有明显的代码重叠，很有可能是由同...

05月30日61 views评论

阅读全文

程序逆向

x32TLS回调函数实验

在steam客户端注入dll的时候发现steam客户端直接消失，一番调试操作，我怀疑是不是steam有什么检测？用x32dbg附加后发现断在了TLS回调函数处！这是什么玩意？bing一下，发现与反调...

05月30日24 views评论

阅读全文

FindWindow函数行为分析

Cobalt Strike系列｜从0开始破解

恶意代码系列｜基于图的恶意代码检测方法

CreateThread和CreateRemoteThread实现进程注入（一）

ebpf 隐藏 Android 任意进程或任意文件实现连载 (一)

CCProxy6.2 栈溢出分析

QueueUserAPC和NtMapViewOfSection是如何在进程中执行 shellcode的（二）

QEMU Linux 内核调试环境搭建

无限硬件中断的代码实现

DLL 劫持反击：在 ARM RDP 客户端上利用 Windows (CVE-2023-24905)

HALFRIG样本分析

x32TLS回调函数实验

在线咨询

微信